Ένας εγκληματίας του κυβερνοχώρου ανακοίνωσε σε ένα cybercrime forum ότι πούλησε τον source code και μια cracked version του Zeppelin ransomware builder για 500 δολάρια.
Η εν λόγω ανάρτηση εντοπίστηκε από την εταιρεία KELA και από τα screenshots που δημοσιεύτηκαν φαίνεται ότι μάλλον το package ήταν πραγματικό.
Ο αγοραστής θα μπορούσε να χρησιμοποιήσει το κακόβουλο Software για να δημιουργήσει μια νέα λειτουργία ransomware-as-a-service (RaaS) ή να δημιουργήσει ένα νέο ransomware που βασίζεται στο Zeppelin.
See also: Xerox: Xerox subsidiary XBS U.S. fell victim to a ransomware attack and data breach
Ο πωλητής του Zeppelin source code και builder διευκρίνισε ότι δεν συνέταξε το κακόβουλο λογισμικό, αλλά απλώς κατάφερε να σπάσει μια έκδοση builder. Επίσης, είπε ότι απέκτησε το πακέτο χωρίς άδεια.
Το προϊόν προοριζόταν για πώληση σε έναν μόνο αγοραστή.
Η ransomware επιχείρηση Zeppelin σταμάτησε τη λειτουργία της τον Νοέμβριο του 2022. Τότε ερευνητές από τις αρχές επιβολής του νόμου και ειδικοί Security είχαν πει ότι είχαν βρει κάποια σφάλματα στο σύστημα κρυπτογράφησης του Zeppelin και έτσι μπόρεσαν να δημιουργήσουν ένα decryption tool και να βοηθήσουν θύματα από το 2020.
Ένας χρήστης ρώτησε στο forum σχετικά με τα σφάλματα στο Zeppelin και ο πωλητής του source code απάντησε ότι είναι η δεύτερη έκδοση του κακόβουλου λογισμικού που δεν θα πρέπει πλέον να περιλαμβάνει τα τρωτά σημεία.
See also: Gallery Systems: ransomware attack affects online museum collections
Μία από τις πιθανές συνέπειες της πώλησης του source code του Zeppelin είναι η αύξηση των attacks ransomware. Με τον source code διαθέσιμο, ο αγοραστής θα έχει τη δυνατότητα να δημιουργήσει και να διανείμει ένα νέο ransomware που βασίζεται στο Zeppelin, αυξάνοντας έτσι τον αριθμό των επιθέσεων.
Επίσης, η πώληση του source code μπορεί να οδηγήσει σε πιο πολύπλοκες και εξελιγμένες εκδοχές του ransomware. Μπορεί να γίνει τροποποίηση και βελτίωση του κώδικα για δημιουργία νέων πιο ισχυρών κακόβουλων λογισμικών.
Τέλος, η πώληση του source code μπορεί να έχει σοβαρές συνέπειες για την ασφάλεια των data. Οι επιχειρήσεις και οι ιδιώτες που είναι θύματα του Zeppelin ransomware θα μπορούσαν να αντιμετωπίσουν απώλεια data, διακοπή των επιχειρηματικών δραστηριοτήτων και οικονομικές απώλειες.
See also: The Cactus Ransomware group hacked the Swedish company Coop
Zeppelin ransomware
Το Zeppelin είναι ένα παράγωγο της οικογένειας κακόβουλου λογισμικού Vega/VegaLocker και ήταν ενεργό μεταξύ 2019 και 2022. Χρησιμοποιήθηκε σε attacks διπλού εκβιασμού και οι χειριστές του ζητούσαν μερικές φορές λύτρα μέχρι και 1 εκατομμύριο δολάρια.
Το RaaS προσέφερε μια σχετικά συμφέρουσα συμφωνία σε affiliates, επιτρέποντάς τους να κρατήσουν το 70% των πληρωμών λύτρων, με το 30% να πηγαίνει στον προγραμματιστή.
Το καλοκαίρι του 2022, το FBI προειδοποίησε για μια νέα τακτική του Zeppelin που περιελάμβανε πολλαπλούς γύρους encryption. Ωστόσο, το Νοέμβριο του ίδιου έτους, οι ερευνητές βρήκαν τα σφάλματα στο ransomware και κατάφεραν να σταματήσουν τη λειτουργία του.
Source : www.bleepingcomputer.com